«Каждая частичка информации в мире скопирована. В бэкап. Кроме человеческого разума… Последнее аналоговое устройство в цифровом мире».
From movie «West World»
Современные технологии открывают новый мир – мир безграничных возможностей, открытого информационного пространства. Но в цифровую эпоху появились и свои проблемы: сохранение тайны переписки в Сети, банковской и коммерческой тайн, конфиденциальных сведений юридических и физических лиц, персональных данных. При желании грамотный хакер может взломать любой сайт и получить доступ к информации. Но и без взломов в интернете мы – как на ладони. Развитие нейросетей и появление новых технических «плюшек» бросает вызов, в том числе праву. Простой пример: использование контекстной и таргетированной рекламы предполагает анализ данных о пользователях, их запросах, геолокации и т.д. Как закон защищает данные в интернет-пространстве? И как вести бизнес в условиях жестких требований со стороны Роскомнадзора?
IP-адрес и cookies как персональные данные пользователей
Персональными данными в соответствии со ст. 3 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных» является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Формулировка достаточно размытая, расширительное толкование понятия «персональные данные» позволяет подразумевать под ним множество различных данных. Позиции российских судов ориентируют нас на то, что
- и IP-адреса,
- и cookie-файлы,
- и геолокации,
- и пользовательские запросы,
- и историю просмотренных страниц,
- и даже устройства, с которых человек выходит в Сеть
можно и нужно относить к персональным данным (вспомним дело Linkedin). Любая информация, не позволяющая однозначно идентифицировать пользователя…, но обеспечивающая формирование достаточного для предоставления пользователю рекламной информации. С 1 июля 2017 года выросли штрафы за нарушение требований об обработке персональных данных, а Роскомнадзор может заблокировать любой сайт, который, по его мнению, обрабатывает персональные данные интернет-пользователей незаконно. Обратите внимание, что даже сбор данных без хранения (если вы всю информацию удаляете через несколько минут и никак не используете) – это все равно обработка персональных данных.
Приведите сайт в порядок
Многие владельцы сайтов в прошлом году готовились к переменам. Но если вы не уверены, что сделали все необходимое, вот краткие советы (Роскомнадзор может инициировать проверку любого юрлица. Уведомление о проверке приходит за трое суток):
- чтобы не попасть под санкции компании нужно утвердить политику защиты персональных данных;
- подать уведомление об обработке персональных данных;
- перенести сайт на территорию РФ (вам нужно знать адрес сервера);
- сделать на сайте кнопку «Даю согласие на обработку персональных данных» для пользователей и указать для него контактную информацию, куда он может обратиться с вопросами о хранении/использовании персональных данных;
- пользователь, посещая ваш сайт, должен знать о том, что его персональные данные хранятся и обрабатываются. Сделайте на сайте дисклаймер с предупреждением, если человек не согласен на передачу данных, он должен покинуть сайт. Наверняка такие дисклаймеры вы видели на множестве ресурсов.
Интересная ситуация: если сайт предоставляет уникальный контент, но с условием использования данных посетителей, остается ли у человека реальный выбор? Должно ли у него быть право получить необходимую информацию без передачи данных? С одной стороны, физические и юридические лица вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдений законодательства. С другой – бизнес не государственный орган и вправе определять, как работать. Главное, чтобы данные хранились надежно, и конституционные права граждан не нарушались, как в деле против Google в 2015 году.
Персональные данные и реклама в интернете
В 2015 году житель Екатеринбурга подал в суд на корпорацию Google, заметив, что после того, как он переписывался с друзьями по электронной почте и рассказывал о своих планах на поездку в Страсбург, ему на глаза стали попадаться объявления об оформлении визы/отелях и отдыхе в Страсбурге. То есть тайна личной переписки была нарушена, пользователь потребовал возместить ущерб. Мосгорсуд вынес решение в пользу гражданина. Хотя Google пояснил, что личную переписку не читает и настраивает таргетинг, исходя из информации, предоставленной при регистрации аккаунта, запросов, местоположения человека и используемых им устройств.
Европейский союз тоже внимательно относится к правовым вопросам таргетированной рекламы – рекламы в интернете и защите персональных данных в принципе. 25 мая 2018 года вступил в силу новый регламент о защите данных, General Data Protection Regulation (GDPR).
Защита персональных данных в ЕС: как новый регламент затронет российский бизнес
Принцип действия Регламента ЕС 2016/679 от 27 апреля 2016 года или GDPR экстерриториальный, и российские компании из разных сфер деятельности (транспортные компании, банки, гостиницы и т.д.) также должны его соблюдать. Рекомендуем провести аудит внутри организации и выяснить, нужно ли что-то поменять в политике защиты персональных данных. Даже, если вы просто продаете товары в интернет-магазине (без территориальных ограничений) и в настройке рекламы используете поведенческие данные резидентов ЕС, вы обязаны соблюдать регламент. Помимо понятия «обработка персональных данных», в нем есть и понятие «мониторинг поведения субъектов данных», подразумевающий какой-либо контроль за поведением жителей ЕС:
- отслеживание резидентов ЕС в интернете: (к примеру, по запросу «купить матрешку москва»);
- использование персональных данных для оценки поведения в Сети, сегментации потенциальной аудитории покупателей, прогнозирования поведения (анализ пользователей по возрасту/полу и т.д., оценка времени, проведенного на сайте, пути перехода на страницу, принятые пользователем решения).
Европейские пользователи интернет-ресурсов могут запрашивать информацию о хранении и использовании своих персональных данных в любое время у любого оператора, включая информацию о цели обработки, категории обрабатываемых данных, периоде, в течение которого данные хранятся и используются, и, конечно, о передаче третьим лицам. У европейцев есть право на забвение (right to erasure), то есть возможность потребовать удаления личных данных во избежание их разглашения.
Согласие на обработку персональных данных должно быть четко выражено в форме устного или письменного утверждения (лучше не используйте поля с уже поставленными галочками). Особое внимание детям. Согласие на обработку персональных данных детей должно быть получено от их родителей или других законных представителей.
Важное требование нового регламента – уведомление о случаях его нарушения. Компания обязана в течение 72 часов сообщить о случае нарушения хранения/использования персональных данных. Недавно в выдачу «Яндекса» попали личные данные клиентов онлайн-сервисов РЖД, некоторых сервисов бронирования билетов и банковских организаций (вплоть до копий паспортов). Поисковик индексирует содержание всех страниц, если это не запрещено владельцем сайта, такая халатность недопустима, и за нее можно понести наказание. Еще один яркий пример: хакерская атака на Uber, о которой стало известно спустя время, а ведь в результате нее были украдены данные миллионов пассажиров и водителей со всего мира. Действуй регламент тогда – Uber заплатил бы огромный штраф.
Источники угрозы персональным данным и почему информацию нужно защищать
Таргетированная реклама, незащищенные сайты, сайты-зеркала – все это угрожает безопасности личной информации в интернет-пространстве. Плюс социальные сети (об этом можно писать отдельно). Некоторые страны инициировали расследования в отношении Facebook, который, как и другие соцсети, аккумулирует гигантский массив информации и не всегда качественно ее хранит. Известно, что открытые данные на ресурсе «ВКонтакте» используют банки и бюро кредитных историй. В прошлом году в открытом доступе появилась личная информация пользователей Instagram… Мы плохо защищены. И новый регламент ЕС – достаточно хороший пример того, какого внимания заслуживает охрана персональных данных, какими принципами нужно руководствоваться в современном цифровом мире, как восстановить доверие интернет-потребителей. Обработка персональных данных имеет огромное экономической значение, поэтому каждой компании, которая входит в зону действия GDPR или планирует расширяться, нужно внимательно изучить новые правила и поработать над приведением политики обработки личных данных в соответствие с европейскими стандартами.
